防火墙在解决方案及典型项目中的应用

防火墙在解决方案及典型项目中的应用

防火墙作为基础安全防护产品,在各种解决方案、业务场景中配套应用,本节给出各类方案资料链接方便查阅。

防火墙在华为网络解决方案中的应用

解决方案

文档

主要应用

CloudFabric云数据中心网解决方案

资料专区

防火墙作为VAS设备,向租户提供安全策略、EIP、源NAT、IPSec、内容安全等增值安全服务。

为了做到不同租户的业务隔离、业务按需提供,控制器将防火墙的虚拟系统(Vsys)生成安全资源池。当租户申请VAS服务时,控制器为租户在安全资源池中分配使用的虚拟系统(逻辑VAS),租户无需感知底层防火墙设备。

同时,当大数据安全分析器检测出网络中的高级或潜在威胁时,防火墙作为执行器接受上级控制器下发的指令,阻断流量。

CloudCampus解决方案

资料专区

防火墙工作在云管理模式,统一注册到云管理平台,由云管理平台进行业务下发和日常运维。

防火墙接入云管理平台后,大部分业务功能都不支持在防火墙上手动配置,只保留必须的一些功能。

HiSec解决方案

资料专区

HiSec解决方案是华为提出的软件定义安全解决方案,创新提出分析器、控制器和执行器三层智能安全防御架构。

防火墙在三层架构中作为执行器,接收控制器下发的防御策略,及时阻断威胁流量。

HiSec解决方案可在云数据中心安全、园区安全、视频监控安全等领域应用,请查阅资料专区中对应不同场景的资料。

防火墙在典型项目中的应用

以下是基于典型项目整理的综合案例,不同项目使用的防火墙版本、部署方案等不尽相同,但是资料均可作为参考。

典型场景

文档

主要应用

校园出口

防火墙在校园出口安全方案中的应用

防火墙部署在校园网出口提供Internet接入和安全防护功能,主要使用入侵防御、基于用户的上网权限控制、ISP智能选路、NAT等功能。

广电出口

防火墙在广电出口安全方案中的应用

防火墙部署在广电网络或二级运营商出口提供Internet接入和安全防护功能,主要使用双机热备、入侵防御、NAT、ISP智能选路等功能。

金融数据中心

防火墙在金融数据中心安全方案中的应用

防火墙可以部署在数据中心区出口、Internet出口、内网接入区。每个部署位置使用的功能不同,具体参见资料。

企业园区出口

防火墙在企业园区出口安全方案中的应用

防火墙部署在大中型企业出口提供Internet接入、VPN互联和安全防护功能,主要使用双机热备、NAT、ISP智能选路、VPN、攻击防范等功能。

云计算

防火墙在云计算安全方案中的应用

防火墙部署在云计算网络中,将云计算网络对外提供服务的虚拟机和Portal系统发布出去供企业用户访问。

主要使用防火墙的双机热备、虚拟系统和NAT Server功能。其中防火墙划分不同的虚拟系统用于隔离不同企业用户的访问。

CLI举例:管理员使用HTTPS方式登录设备(默认证书)

介绍如何通过命令行配置HTTPS方式登录Web界面的管理员。

背景信息

当客户端通过HTTPS登录设备时,设备会发送证书(默认证书/指定证书)给客户端。当设备发送默认证书给客户端时,客户端无法验证其合法性,容易受到攻击。

组网需求

如图1所示,为FW配置一个本地认证管理员webadmin,要求管理可以通过HTTPS登录到Web界面。

图1 通过HTTPS(默认证书)登录Web界面组网图

数据规划

项目

数据

说明

用户名

webadmin

-

密码

Myadmin@123

-

认证类型

本地认证

-

角色

service-admin

service-admin为自定义的角色,对网络、策略和对象拥有读写权限,对其他配置项无权限。

管理员信任主机

10.3.0.0/24

通过IP地址限制管理员所在区域。

服务类型

Web

-

Web服务超时时间

5分钟

-

配置思路
  1. 配置登录接口。

  2. 创建管理员、管理员角色,为管理员配置信任主机。

  3. 验证管理员登录Web界面。

本举例只介绍配置管理员相关的内容。

操作步骤
  1. 可选:配置登录接口。

    如果使用管理口的缺省配置登录设备,无需执行此步骤。

    管理口的缺省IP地址为192.168.0.1,接口已经加入Trust区域,并且允许管理员通过HTTPS登录设备。

    1. 配置接口信息。

      [FW] interface GigabitEthernet 1/0/3  
      [FW-GigabitEthernet1/0/3] ip address 10.3.0.1 255.255.255.0
      [FW-GigabitEthernet1/0/3] service-manage enable
      [FW-GigabitEthernet1/0/3] service-manage https permit
      [FW-GigabitEthernet1/0/3] quit

    2. 将接口加入安全区域。

      [FW] firewall zone trust
      [FW-zone-trust] add interface GigabitEthernet1/0/3
      [FW-zone-trust] quit

  2. 创建管理员。
    1. 为管理员配置信任主机。

      [FW] acl 2001                                                                   
      [FW-acl-basic-2001] rule permit source 10.3.0.0 0.0.0.255
      [FW-acl-basic-2001] rule 10 deny
      [FW-acl-basic-2001] quit                              

    2. 可选:创建管理员角色。

      如果使用缺省的管理员角色,请忽略此步骤。

      [FW] aaa
      [FW-aaa] role service-admin
      [FW-aaa-role-service-admin] description policy_object_network_readwrite_and_other_modules_none
      [FW-aaa-role-service-admin] dashboard none
      [FW-aaa-role-service-admin] monitor none
      [FW-aaa-role-service-admin] system none
      [FW-aaa-role-service-admin] network read-write
      [FW-aaa-role-service-admin] object read-write
      [FW-aaa-role-service-admin] policy read-write
      [FW-aaa-role-service-admin] quit

    3. 创建管理员,并为管理员绑定角色。

      [FW-aaa] manager-user webadmin
      [FW-aaa-manager-user-webadmin] password
      Enter Password: 
      Confirm Password:   
      [FW-aaa-manager-user-webadmin] service-type web
      [FW-aaa-manager-user-webadmin] access-limit 10
      [FW-aaa-manager-user-webadmin] acl-number 2001
      [FW-aaa-manager-user-webadmin] quit
      [FW-aaa] bind manager-user webadmin role service-admin
      [FW-aaa] quit

  3. 验证管理员登录Web界面。
    1. 配置管理员PC的IP地址为10.3.0.10/24。
    2. PC中打开网络浏览器,访问需要登录设备的IP地址“https://10.3.0.1:8443”。

      输入IP地址登录后,浏览器会给出证书不安全的提示,此时可以选择继续浏览。

    3. 在登录界面中输入管理员的用户名“webadmin”和密码“Myadmin@123”,单击“登录”,进入Web界面,管理员配置成功。

配置脚本
#                             
interface GigabitEthernet1/0/3
 ip address 10.3.0.1 255.255.255.0   
 service-manage https permit  
# 
firewall zone trust 
 set priority 85 
 add interface GigabitEthernet1/0/3
#                             
acl number 2001               
 rule 5 permit source 10.3.0.0 0.0.0.255 
 rule 10 deny
#                             
 web-manager security enable
 web-manager timeout 5        
#       
aaa                           
 authentication-scheme default
#                            
manager-user webadmin        
 password cipher %@%@*y:3*ZN}.%%qcL1cC|@XBVMDyDwlB.Wq'6JF(iOz2D8>A\SN%@%@
 service-type web
 level 15                   
 acl-number 2001            
#                            
 bind manager-user webadmin role service-admin 
role service-admin            
  description policy_object_network_readwrite_and_other_modules_none
 dashboard none
 monitor none
 system none
 network read-write 
 object read-write
 policy read-write
#
return

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/478907.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

游戏引擎开发公司 Unity 调查:超六成游戏工作室采纳AI助力开发,效率与质量双提升

Unity是一家专注于游戏引擎开发的公司,其开发的Unity引擎被广泛应用于游戏开发领域,为开发者提供了强大的工具来创建高质量的游戏。Unity引擎不仅支持多种平台,而且具有易用性和灵活性,使得开发者能够高效地进行游戏开发。近年来&…

一文速通自监督学习(Self-supervised Learning):教机器自我探索的艺术

一文速通自监督学习(Self-supervised Learning):教机器自我探索的艺术 前言自监督学习是什么?自监督学习的魔力常见的自监督学习方法1. 对比学习2. 预测缺失部分3. 旋转识别4. 时间顺序预测 结语 🌈你好呀!…

Springboot 博客_002 项目环境配置

引入相关依赖 mysqlmybatis <dependency><groupId>com.mysql</groupId><artifactId>mysql-connector-j</artifactId></dependency><dependency><groupId>org.mybatis.spring.boot</groupId><artifactId>mybatis-…

数据库关系运算理论:专门的关系运算概念解析

✨✨ 欢迎大家来访Srlua的博文&#xff08;づ&#xffe3;3&#xffe3;&#xff09;づ╭❤&#xff5e;✨✨ &#x1f31f;&#x1f31f; 欢迎各位亲爱的读者&#xff0c;感谢你们抽出宝贵的时间来阅读我的文章。 我是Srlua小谢&#xff0c;在这里我会分享我的知识和经验。&am…

德邦物流、京东重货、跨越速运、百世快运同台比价,寄哪个物流最便宜?一目了然

快递物流上门取件综合版的上线确实为许多用户提供了极大的便利。 德邦物流、京东重货、跨越速运、百世快运等作为业内知名的物流公司&#xff0c;其服务质量和运输效率都得到了广大用户的认可。 一键下单的功能更是简化了操作流程&#xff0c;提高了用户体验。 德邦物流&…

【半导体存储】关于NANDFlash的一些小知识

前言 作为一名电子专业的学生&#xff0c;半导体存储显然是绕不过去的一个坎&#xff0c;今天聊一聊关于NandFlash的一些小知识。 这里十分感谢深圳雷龙发展有限公司为博主提供的两片SD NAND的存储芯片&#xff0c;同时也给大家推荐该品牌的相关产品。 一、定义 存储芯…

漫谈微服务网关

一、什么是服务网关 服务网关 路由转发 过滤器 1、路由转发&#xff1a;接收一切外界请求&#xff0c;转发到后端的微服务上去&#xff1b; 2、过滤器&#xff1a;在服务网关中可以完成一系列的横切功能&#xff0c;例如权限校验、限流以及监控等&#xff0c;这些都可以通过…

(Linux 学习十二)文件查找和文件压缩

一.文件查找 which 命令查找 也可以用 whereis find 文件查找&#xff0c;针对文件名 locate 文件查找&#xff0c;依赖数据库alias 别名 alias yyy ls --colorauto -l yyy //相当于别名 查看文件which ls //查找ls 命令位置 whereis vim //也是查找命令locate …

Gitlab介绍

1.什么是Gitlab GitLab是一个流行的版本控制系统平台&#xff0c;主要用于代码托管、测试和部署。 GitLab是基于Git的一个开源项目&#xff0c;它提供了一个用于仓库管理的Web服务。GitLab使用Ruby on Rails构建&#xff0c;并提供了诸如wiki和issue跟踪等功能。它允许用户通…

文献速递:基于SAM的医学图像分割---医疗 SAM 适配器:适配用于医学图像分割的 Segment Anything 模型

Title 题目 Medical SAM Adapter: Adapting Segment Anything Model for Medical Image Segmentation 医疗 SAM 适配器&#xff1a;适配用于医学图像分割的 Segment Anything 模型 01 文献速递介绍 最近&#xff0c;Segmentation Anything 模型&#xff08;SAM&#xff09;…

Tuxera NTFS使用教程:关于Tuxera NTFS mac还有你不知道的用法

NTFS for Mac是Mac电脑里非常重要的工具之一&#xff0c;因为它太实用了&#xff0c;解决了NTFS移动硬盘在Mac上的写入问题。但是&#xff0c;小伙伴在安装完软件之后&#xff0c;通常再也不会关注它&#xff0c;甚至时间长了&#xff0c;也就忘了Mac里还有这么一个软件。 在T…

​2024年保护微服务的前10种技术

1*5rY-jEv7qlpa_swi4WMIBw.png 引言 与当前正在使用的任何其他技术或方法一样&#xff0c;微服务也有其自己的一套缺陷和问题。尽管如此&#xff0c;微服务架构的采用率不断增加&#xff0c;预计到2028年将达到1718.2亿美元。 然而&#xff0c;尽管团队使用微服务&#xff0c;但…

RabbitMQ的使用—实战

RabbitMQ的使用—实战 ​ RabbitMQ是一个开源的消息代理中间件&#xff0c;在分布式系统开发中被广泛应用。它实现了高级消息队列协议&#xff08;AMQP&#xff09;&#xff0c;提供可靠的消息传递、灵活的路由、消息确认等功能。下面是使用RabbitMQ的基本流程&#xff1a; 安…

动态QCA|一条通向动态QCA产出的道路2.0

一、《A General Approach to Panel Data Set-Theoretic Research 》阅读 摘要&#xff1a;基于一般线性统计模型的学术研究正迅速向纵向和面板数据计量经济学方法的更广泛和更丰富的应用方向发展。相比之下&#xff0c;集合论的实证研究&#xff0c;尽管其日益普及&#xff0c…

GraalVM详细安装及打包springboot、java、javafx使用教程(打包javafx项目篇)

前言 在当前多元化开发环境下&#xff0c;Java作为一种广泛应用的编程语言&#xff0c;其应用部署效率与灵活性的重要性日益凸显。Spring Boot框架以其简洁的配置和强大的功能深受开发者喜爱&#xff0c;而JavaFX则为开发者提供了构建丰富桌面客户端应用的能力。然而&#xff…

ANDRAXv6软件工具列表介绍

系统环境&#xff1a;Xiaomi HyperOS Android 14 以下列表仅为部分内容&#xff0c;实际工具更多&#xff0c;方便大家了解为什么ANDRAX比NetHunter更强大 注意以下内容&#xff1a;仅供学习&#xff0c;未经相关部门许可请勿随意测试或恶意破坏公共网络设备&#xff0c;违者…

工控机在机器人领域的应用丨工业一体机的应用

随着机器人技术的不断发展&#xff0c;机器人在制造、物流等领域得到了广泛应用。而工业控制计算机&#xff08;工控机&#xff09;作为机器人控制系统的核心设备&#xff0c;也在机器人领域发挥着越来越重要的作用。 机器人控制系统是机器人的核心部分&#xff0c;控制系统的…

基于Springboot的农产品销售管理系统+数据库+免费远程调试

项目介绍: 基于Springboot的农产品销售管理系统。Javaee项目&#xff0c;springboot项目。采用M&#xff08;model&#xff09;V&#xff08;view&#xff09;C&#xff08;controller&#xff09;三层体系结构&#xff0c;通过SpringMvc SpringBootMybatisVuemaven来实现。MyS…

Uscrapper:一款功能强大的网络资源爬取工具

关于Uscrapper Uscrapper是一款功能强大的网络资源爬取工具&#xff0c;该工具可以帮助广大研究人员从各种网络资源中轻松高效地提取出有价值的数据&#xff0c;并且提供了稳定、友好且易于使用的UI界面&#xff0c;是安全研究人员和网络分析人员的强有力工具。 Uscrapper最大…

PR如何制作火焰特效?VFX火焰动画元素PR视频剪辑素材

如何使用Premiere软件制作火焰特效动画&#xff1f;VFX火焰特效元素动画pr视频剪辑素材。使用颜色控制器轻松自定义辉光效果的颜色和强度。每个场景都充满逼真的火焰。在预告片、极限运动视频或任何需要电影火力的场景中添加动作的好方法。 来自&#xff1a;pr素材库&#xff0…